A Trend Micro mapeou uma família de malware recém-descoberta que ataca sistemas de pontos-de-venda (POS). O ataque, chamado de FastPOS, se refere à velocidade e a eficiência no roubo de dados dos cartões de crédito.
Detectado pela Trend Micro como TSPY_FASTPOS.SMZTDA, ele atinge suas vítimas por meio de três métodos: links para um site médico comprometido que fala sobre técnicas cirúrgicas a laser; serviço de compartilhamento de arquivos em tempo real e transferência direta de arquivos via VNC.
Os dois primeiros, são aplicados por algum tipo de engenharia social necessária para fazer os usuários executarem o malware e o último implica um comprometimento de credenciais da empresa.
A Trend Micro verificou que as vítimas dessa ameaça se concentram no Brasil, Estados Unidos, Hong Kong, Japão, Taiwan e França.
Os setores atacados são bem variáveis: dentre eles, nos Estados Unidos, uma clínica veterinária e os alvos incluíram também empresas do setor de alimentos e logística. Em alguns destes casos, os locais das vítimas eram escritórios remotos que continham o acesso VNC aberto.
A grande característica do FastPOS é enviar imediatamente qualquer informação roubada para o atacante, em vez de armazená-la localmente e mandar em intervalos. Segundo a Trend Micro, este tipo de atividade é relativamente fácil de ser executada e passar percebida. Para todos os métodos de roubo de informações, o login da senha e raspagem da RAM sempre são usados.
As combinações de teclas registradas pela Trend Micro, não são armazenadas em um arquivo do sistema afetado, e sim, na memória. Eles são transmitidos para o atacante quando a tecla Enter é pressionada. Dependendo dos procedimentos da empresa-vítima, as informações roubadas podem incluir credenciais do usuário, identificação pessoal (IIP) de clientes e funcionários e até as informações de pagamento.
A raspagem da RAM é projetada para roubar apenas informações do cartão de crédito. Uma série de verificações são destinadas a assegurar que a raspagem da RAM é capaz de roubar números de cartões válidos.
Uma característica deste raspador de RAM que não está em uso em outros lugares, é a verificação do código de serviço do cartão. Um cartão com códigos de serviço entre 101 ou 201 podem ser usados normalmente em todo o mundo. A única diferença é que o código 201 de serviço, especifica que o chip onboard de novos cartões EMV devem ser utilizados sempre que possível. Placas que requerem PINs para transações também são excluídas.
Como mencionamos anteriormente, o FastPOS não armazena nenhuma informação nem registros localmente. Em vez disso, qualquer informação roubada é imediatamente enviada para um servidor CC, cuja localização é codificada dentro do malware.
Quem criou o FastPOS e quem o usa?
A Trend Micro encontrou em alguns posts de um fórum clandestino de 2015, exemplos de código para malware que usavam o mesmo mutex, como as amostras FastPOS estudadas pela empresa.
Sobre o perfil do usuário desse malware, foram encontradas algumas pistas como o anúncio abaixo de um site onde outros usuários podem comprar informações de um cartão roubado.
O que foi descoberto pela Trend Micro, é que o endereço IP deste site foi usado pelo FastPOS como um servidor CC. Em suma, as pessoas por trás do FastPOS estão vendendo credenciais roubadas por meio do mesmo servidor que usam para receber essas credenciais.
Conclusões
A Trend Micro observou que o FastPOS é projetado para ambientes em uma escala muito menor. Estes podem ser os casos em que o gateway da rede primária é um modem DSL simples com portas encaminhadas para o sistema POS. Em tal situação, o alvo seria dependente quase exclusivamente na detecção de endpoint e ainda menos em caso de detecção de nível de rede.
Uma solução para as vítimas seria adaptar o controle de aplicativos de endpoint ou whitelisting, o que reduz a exposição ao ataque, garantindo que apenas atualizações associadas às aplicações na lista de autorizações possam ser instaladas. Soluções de endpoint avançadas podem proteger os sistemas dos usuários e têm características que podem ajudar a combater ameaças contra pontos-de-venda.